Wat is voorwaardelijke toegang?What is Conditional Access?

De moderne beveiligings omtrek gaat nu verder dan het netwerk van een organisatie voor het toevoegen van de identiteit van de gebruiker en het apparaat.The modern security perimeter now extends beyond an organization's network to include user and device identity. Organisaties kunnen deze identiteits signalen gebruiken als onderdeel van hun beslissingen voor toegangs beheer.Organizations can utilize these identity signals as part of their access control decisions.

Voorwaardelijke toegang is het hulp programma dat wordt gebruikt door Azure Active Directory om signalen samen te brengen, beslissingen te nemen en organisatie beleid af te dwingen.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. Voorwaardelijke toegang bevindt zich op het hart van het nieuwe op identiteits gerichte besturings vlak.Conditional Access is at the heart of the new identity driven control plane.

Conceptuele voorwaardelijke signalen plus beslissing voor het afdwingen van afdwinging

Beleids regels voor voorwaardelijke toegang op hun eenvoudigste manier zijn als-then-instructies, als een gebruiker toegang wil tot een resource, dan moeten ze een actie volt ooien.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. Voor beeld: een salaris beheerder wil toegang tot de salaris toepassing en is vereist voor het uitvoeren van multi-factor Authentication voor toegang.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

Beheerders worden geconfronteerd met twee primaire doel stellingen:Administrators are faced with two primary goals:

  • Geef gebruikers de mogelijkheid overal en altijd productief te zijnEmpower users to be productive wherever and whenever
  • De bedrijfs middelen beveiligenProtect the organization's assets

Door gebruik te maken van beleids regels voor voorwaardelijke toegang kunt u de juiste toegangs beheer Toep assen als dat nodig is om uw organisatie veilig te houden en op de wijze van de gebruiker te blijven wanneer deze niet nodig is.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user’s way when not needed.

Voortgangs proces stroom voor voorwaardelijke toegang

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat de eerste-factor Authentication is voltooid.Conditional Access policies are enforced after the first-factor authentication has been completed. Voorwaardelijke toegang is niet bedoeld als de eerste verdedigings linie van een organisatie voor scenario's als denial-of-service-aanvallen, maar kan signalen van deze gebeurtenissen gebruiken om toegang te bepalen.Conditional Access is not intended as an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but can use signals from these events to determine access.

Algemene signalenCommon signals

Veelvoorkomende signalen die bij het maken van een beleids beslissing kunnen worden gebruikt om rekening mee te houden, zijn de volgende signalen:Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • Gebruiker of groepslid maatschapUser or group membership
    • Beleids regels kunnen worden gericht op specifieke gebruikers en groepen die beheerders een nauw keurige controle over toegang geven.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • IP-locatie gegevensIP Location information
    • Organisaties kunnen vertrouwde IP-adresbereiken maken die kunnen worden gebruikt bij het maken van beleids beslissingen.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • Beheerders kunnen het gehele IP-bereik van landen opgeven om verkeer van te blok keren of toe te staan.Administrators can specify entire countries IP ranges to block or allow traffic from.
  • ApparaatDevice
    • Gebruikers met apparaten van specifieke platformen of gemarkeerd met een specifieke status kunnen worden gebruikt bij het afdwingen van beleid voor voorwaardelijke toegang.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • ToepassingApplication
    • Gebruikers die toegang proberen te krijgen tot specifieke toepassingen, kunnen verschillende beleids regels voor voorwaardelijke toegang activeren.Users attempting to access specific applications can trigger different Conditional Access policies.
  • Real-time en berekende risico detectieReal-time and calculated risk detection
    • Hiermee wordt de integratie met Azure AD Identity Protection toegestaan beleids regels voor voorwaardelijke toegang om Risk ante aanmeldings gedrag te identificeren.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. Beleid kan gebruikers vervolgens dwingen om wachtwoord wijzigingen of multi-factor Authentication uit te voeren om het risico niveau te verminderen of om toegang te blok keren totdat een beheerder hand matige actie onderneemt.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • Hiermee kunnen toegang en sessies van gebruikers toepassingen in realtime worden bewaakt en beheerd, waardoor de zicht baarheid en controle van de toegang tot en activiteiten in uw cloud omgeving worden verhoogd.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

Algemene beslissingenCommon decisions

  • Toegang blokkerenBlock access
    • Meest beperkend besluitMost restrictive decision
  • Toegang verlenenGrant access
    • Er kunnen nog steeds een of meer van de volgende opties worden vereist:Least restrictive decision, can still require one or more of the following options:
      • Multi-factor Authentication vereisenRequire multi-factor authentication
      • Vereisen dat het apparaat wordt gemarkeerd als compatibelRequire device to be marked as compliant
      • Hybride Azure AD-aangesloten apparaat vereisenRequire Hybrid Azure AD joined device
      • Goedgekeurde client-app vereisenRequire approved client app
      • Beveiligings beleid voor apps vereisen (preview-versie)Require app protection policy (preview)

Algemeen toegepast beleidCommonly applied policies

Veel organisaties hebben algemene toegangs problemen die het beleid voor voorwaardelijke toegang kunnen helpen bij het volgende:Many organizations have common access concerns that Conditional Access policies can help with such as:

  • Multi-factor Authentication vereisen voor gebruikers met beheerders rollenRequiring multi-factor authentication for users with administrative roles
  • Multi-factor Authentication vereisen voor Azure-beheer takenRequiring multi-factor authentication for Azure management tasks
  • Aanmeldingen blok keren voor gebruikers die verouderde verificatie protocollen willen gebruikenBlocking sign-ins for users attempting to use legacy authentication protocols
  • Vertrouwde locaties voor registratie van Azure-Multi-Factor Authentication vereisenRequiring trusted locations for Azure Multi-Factor Authentication registration
  • Toegang vanaf specifieke locaties blok keren of verlenenBlocking or granting access from specific locations
  • Risk ante aanmeldingen blok kerenBlocking risky sign-in behaviors
  • Door de organisatie beheerde apparaten vereisen voor specifieke toepassingenRequiring organization-managed devices for specific applications

Casestudy's van klantenCustomer case studies

Ontdek hoe andere organisaties voorwaardelijke toegang van Azure AD gebruiken voor het definiëren en implementeren van geautomatiseerde beslissingen voor toegangs beheer.Discover how other organizations use Azure AD Conditional Access to define and implement automated access control decisions. De volgende verhalen laten zien hoe deze klant aan deze behoeften voldoet.The following featured stories demonstrate how these customer needs are met.

LicentievereistenLicense requirements

Voor het gebruik van deze functie is een Azure AD Premium P1-licentie vereist.Using this feature requires an Azure AD Premium P1 license. Zie Algemeen beschik bare functies van de gratis, basis en Premium-edities vergelijkenom de juiste licentie voor uw vereisten te vinden.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Klanten met Microsoft 365 Business licenties hebben ook toegang tot functies voor voorwaardelijke toegang.Customers with Microsoft 365 Business licenses also have access to Conditional Access features.

Volgende stappenNext steps

Een beleid voor voorwaardelijke toegang op stuk bouwenBuilding a Conditional Access policy piece by piece

Zie de implementatie van voorwaardelijke toegang plannen in azure Active Directoryvoor meer informatie over het implementeren van voorwaardelijke toegang in uw omgeving.To learn how to implement Conditional Access in your environment, see Plan your Conditional Access deployment in Azure Active Directory.

Meer informatie over identiteits beveiligingLearn about Identity Protection

Meer informatie over Microsoft Cloud App SecurityLearn about Microsoft Cloud App Security

Meer informatie over Microsoft IntuneLearn about Microsoft Intune